宝塔面板爆重大漏洞,数据库无鉴权直接访问

2020-08-24 15:21发布

2020年8月23日,宝塔面板被爆出严重的安全事件数据库未授权访问漏洞,公网无需鉴权直接 root 权限进入 phpmyadminIP或域名地址:888/pma 可以直接进入 phpMyAdmin,导致很多网站数据库被篡改或者直接清理了数据库,可谓损失惨重!

下图为使用宝塔面板服务器软件后爆出的数据库未授权访问漏洞

 

我是昨天收到阿里云通知消息提醒的,后面才收到宝塔短信通知的,收到宝塔安全漏洞的通知还是比较意外的,运维群炸了,一直在讨论数据库的丢失以及转移问题。宝塔面板数据库未授权访问漏洞,公网无需鉴权直接 root 权限进入 phpmyadmin,IP或域名地址:888/pma 可以直接进入 phpMyAdmin,导致很多网站数据库被篡改或者直接清理了数据库,可谓损失惨重!

目前宝塔官方已经给用户发送短信提醒升级,影响范围包括宝塔linux面板 7.4.2以及宝塔windows面板 6.8。宝塔官方发布紧急安全更新短信通知称,Linux面板7.4. 2 版本/Windows面板6. 8 版本存在安全隐患,官方已发布紧急更新,请所有使用此版本的用户务必升级到最新版。Linux版本7.4.2版本和测试版本7.5.14的用户更新到以下版本:宝塔linux 测试版本7.5.15 (安全版本);宝塔linux 正式版 7.4.3 (安全版本);还没更新赶紧去更新,详细操作可以参考(官方通告)。 建议大家在放行端口方面,只需要放行所需要的端口如80,443不开放其他端口,可以很大程度地提升网站的安全,建议封堵888端口。

我一直也是宝塔的用户,毕竟作为运维面板名气还是比较大的,我去用了才发现宝塔免费版本都是网页单机管理形式,没有批量运维的能力,我购买服务器都是起码几台,这时候我需要同时兼顾几台服务器的管理运维,一个个复制粘贴登陆地址感觉还是很麻烦的。

后面也是在论坛上看到别人推荐另外一款目前免费的面板云帮手官网,云帮手是一款服务器管理软件,支持windows和linux系统,能够批量集群管理多个云服务器,不限云服务厂商、站点数量和主机数量,同时还兼容Windows、CentOS、Ubuntu、Debian、OpenSUSE、Fedora等云服务器操作系统。

 

而且云帮手安全防护功能可以提供端口白名单、IP 黑白名单、网络连接管控等网络安全管理功能,安全巡检功能可以及时发现系统存在的安全风险、系统漏洞,可以一键修复系统漏洞、加固系统,提高系统安全性。 目前有Windows电脑端、 Mac电脑端、 Android移动端、 Ios移动端,我用了一段时间感觉总体的功能还行吧,缺点就是软件应用的支持度还不够,WEB端还未上线,希望快点更新吧,没有用过的可以考虑去体验一下。